【发布时间】:2011-08-27 23:40:48
【问题描述】:
我想编写一个 chrome 扩展程序,它会根据某些事件自动(无需用户交互)从本地存储读取和上传文件。我知道由于网络和浏览器的安全模型,这不可能直接实现。
在网上查了一下,发现可以通过一个NPAPI插件来实现。据我了解,我可以编写一个 chrome 扩展,它将(通过 NPRuntime API)与 NPAPI 插件交互并请求上传文件。该插件将检索文件并以文件数据进行响应。
问题 1:以上构想的架构是实现我的任务的合理/有效方式吗?
如果是这样,那么我担心的是这种方法的安全性。
问题 2:由于我的插件会从本地存储读取(并且可能写入)内容,我该如何以安全的方式对其进行编码,以免被其他恶意站点/扩展程序滥用?我的插件应该只适用于我的扩展,而不适用于任何其他站点/扩展。我将如何实现这一目标?换句话说,我应该采取什么样的措施来保护我的 chrome 扩展程序和 NAAPI 插件之间的交互,以便没有恶意攻击的余地?
【问题讨论】:
标签: google-chrome google-chrome-extension npapi browser-plugin npruntime